اختبار الاختراق
سياسة دعم عملاء AWS لاختبار الاختراق
نرحب بعملاء AWS لإجراء تقييمات الأمان أو اختبارات الاختراق لببنية AWS التحتية دون الحصول على موافقة مسبقة للحصول على الـ 8 خدمات المدرجة في القسم التالي ضمن «الخدمات المسموح بها». إضافة إلى ذلك، تسمح AWS للعملاء باستضافة أدوات التقييم الأمني لديهم داخل مساحة بروتوكول الإنترنت AWS IP أو مزود سحابي آخر للاختبار المحلي أو في AWS أو مع جهة خارجية متعاقد معها. تتطلب جميع اختبارات الأمان التي تتضمن الأوامر والتحكم (C2) موافقة مسبقة.
يُرجى التأكد من أن هذه الأنشطة تتماشى مع السياسة المبينة أدناه. ملحوظه: لا يُسمح للعملاء بإجراء أي تقييمات أمان لبنية AWS التحتية، أو خدمات AWS نفسها. إذا اكتشفت مشكلة أمنية في أي من خدمات AWS في سياق تقييم الأمان، فيُرجى الاتصال بأمن AWS فورًا.
إذا تلقت AWS تقرير إساءة استخدام للأنشطة المتعلقة باختبار الأمان، فسوف نقوم بإرساله إليك. عند الرد، يُرجى تزويدنا بلغة معتمدة توضح بالتفصيل حالة الاستخدام لديك، تحديدًا نقطة اتصال يمكننا مشاركتها مع أي مراسلين تابعين لجهات خارجية. تعرّف على مزيد من المعلومات هنا.
بائعو خدمات AWS هم المسؤولون عن نشاط اختبار الأمان الخاص بالعملاء.
سياسة خدمة العملاء لاختبار الاختراق
الخدمات المسموح بها
- مثيلات Amazon EC2 وبوابات WAF وNAT وموازنة التحميل المرن (ELB)
- Amazon RDS
- Amazon CloudFront
- Amazon Aurora
- بوابات Amazon API
- AWS AppSync
- وظائف AWS Lambda وLambda Edge
- موارد Amazon Lightsail
- بيئات Amazon Elastic Beanstalk
- Amazon Elastic Container Service
- AWS Fargate
- Amazon ElasticSearch
- Amazon FSx
- بوابة Amazon Transit
- تطبيقات S3 المستضافة (يُحظر تمامًا استهداف حاويات S3)
سيحتاج العملاء الذين يسعون إلى اختبار الخدمات غير المعتمدة إلى العمل مباشرةً مع فريق دعم AWS Support أو مع ممثل حسابك.
الأنشطة المحظورة
- التجول في منطقة نظام أسماء النطاقات عبر مناطق Amazon Route 53 المستضافة
- اختطاف نظام أسماء النطاقات (DNS) عبر Route 53
- تزوير عناوين أسماء النطاقات (DNS) عبر Route 53
- رفض الخدمة (DoS)، ورفض الخدمة الموزع (DDoS)، وDoS المحاكي، وDDoS المحاكي (يخضع ذلك لسياسة اختبار محاكاة DDoS)، وإغراق المنافذ
- إغراق البروتوكول بالطلبات
- الإغراق بالطلبات (الإغراق بطلبات تسجيل الدخول، الإغراق بطلبات API)
أحداث أخرى تتم محاكاتها
اختبار الفريق الأحمر/ الأزرق/ الأرجواني
اختبارات الفريق الأحمر/ الأزرق/ الأرجواني هي محاكاة أمنية متقاربة مصممة لاختبار الوعي الأمني للمؤسسة وأوقات الاستجابة
يجب على العملاء الذين يسعون إلى إجراء عمليات محاكاة أمنية متقاربة سرية و/ أو استضافة الأوامر والتحكم (C2) تقديم نموذج محاكاة الأحداث للمراجعة.
اختبار تحمل الشبكة
اختبار التحمل هو اختبار أداء يرسل حجمًا كبيرًا من حركة المرور المشروعة أو التجريبية إلى تطبيق هدف مقصود محدد لضمان قدرة تشغيلية فعَّالة. من المتوقع أن يؤدي تطبيق نقطة النهاية وظيفته المقصودة بصفته جزءًا من الاختبار. أي محاولة لتشويش الهدف هي بمثابة رفض للخدمة (DoS).
يجب على العملاء الذين يرغبون في إجراء اختبار تحمل الشبكة مراجعة سياسة اختبار التحمل.
اختبار iPerf
iPerf هي أداة لقياس أداء الشبكة وضبطها. إنها أداة تعمل على عدة منصات يمكنها إنتاج قياسات أداء موحدة لأي شبكة.
يجب على العملاء الذين يسعون لإجراء اختبار iPerf إرسال نموذج محاكاة الأحداث للمراجعة.
اختبار محاكاة الحرمان من الخدمة الموزعة
تحدث هجمات الحرمان من الخدمة الموزَّعة (DDoS) عندما يستخدم المهاجمون تدفق حركة مرور من مصادر متعددة لمحاولة التأثير على توافر تطبيق مستهدف. يستخدم اختبار محاكاة الحرمان من الخدمة الموزَّعة (DDoS) هجوم حرمان من الخدمة الموزَّعة (DDoS) خاضع للسيطرة لتمكين مالك التطبيق من تقييم مرونة التطبيق، وللتدرب على الاستجابة للأحداث.
يجب على العملاء الذين يرغبون في إجراء اختبار محاكاة الحرمان من الخدمة الموزعة مراجعة سياسة اختبار محاكاة الحرمان من الخدمة الموزعة (DDoS).
محاكاة التصيد الاحتيالي
محاكاة التصيد الاحتيالي هي محاكاة لمحاولة هجوم هندسة اجتماعية تحاول الحصول على معلومات حساسة من المستخدمين. الهدف هو تعريف المستخدمين وتثقيفهم بشأن الفرق بين رسائل البريد الإلكتروني الصالحة ورسائل البريد الإلكتروني الاحتيالية لزيادة الأمان المؤسسي.
يجب على العملاء الذين يسعون لإجراء حملات محاكاة التصيد الاحتيالي إرسال نموذج محاكاة الأحداث للمراجعة.
اختبار البرمجيات الحديثة
اختبار البرمجيات الخبيثة هو ممارسة لإخضاع الملفات أو البرامج الضارة للتطبيقات أو برامج مكافحة الفيروسات لتحسين ميزات الأمان.
يجب على العملاء الذين يسعون لإجراء اختبار البرمجيات الخبيثة إرسال نموذج محاكاة الأحداث للمراجعة.
طلب تفويض لأحداث أخرى تتم محاكاتها
تلتزم AWS بأن تكون سريعة الاستجابة وبأن تبلغك باستمرار بتقدمنا. يُرجى إرسال نموذج محاكاة الأحداث للاتصال بنا مباشرة. (بالنسبة للعملاء العاملين في منطقة AWS الصين (نينجشيا وبكين)، يُرجى استخدام نموذج محاكاة الأحداث هذا.)
تأكد من تضمين التواريخ ومعرِّفات الحسابات المعنية والأصول المعنية ومعلومات الاتصال، بما في ذلك رقم الهاتف والوصف التفصيلي للأحداث المخططة. ينبغي أن تتوقع تلقي استجابة غير آلية على اتصالك الأول خلال يومي عمل مع تأكيد تلقي طلبك.
يجب إرسال جميع طلبات الأحداث المحاكية إلى AWS قبل أسبوعين (2) على الأقل من تاريخ البدء.
انتهاء الاختبار
ليس مطلوبًا منك إجراء آخر بعد أن تتلقى تفويضنا. يمكنك إجراء اختبارك حتى نهاية الفترة التي أوضحتها.
الشروط والأحكام
يجب أن تكون جميع اختبارات الأمان متوافقة مع شروط وأحكام اختبار الأمان الخاص بـ AWS.
اختبار الأمان:
- سيقتصر على الخدمات والنطاق الترددي للشبكة والطلبات لكل دقيقة ونوع المثيل
- ويخضع لشروط اتفاقية عميل Amazon Web Services بينك وبين AWS
- ويلتزم بسياسة AWS المتعلقة باستخدام أدوات وخدمات تقييم الأمان المدرجة في القسم التالي
أي اكتشاف للثغرات الأمنية أو غيرها من المشكلات كنتيجة مباشرة لاستخدام أدوات AWS أو خدماتها يجب إبلاغه إلى أمان AWS في غضون 24 ساعة من الانتهاء من الاختبار.
سياسة AWS بشأن استخدام أدوات وخدمات تقييم الأمان
تسمح سياسة AWS المتعلقة باستخدام أدوات وخدمات تقييم الأمان بمرونة كبيرة لإجراء تقييمات الأمان لأصول AWS الخاصة بك مع حماية عملاء AWS الآخرين وضمان جودة الخدمة عبر AWS.
وتدرك AWS أن هناك مجموعة متنوعة من الأدوات والخدمات العامة والخاصة والتجارية و/أو المفتوحة المصدر للاختيار من بينها لأغراض إجراء تقييم أمان لأصول AWS. يشير مصطلح "تقييم الأمان" إلى جميع الأنشطة التي يتم القيام بها لأغراض تحديد فعالية أو وجود ضوابط الأمان بين أصول AWS الخاصة بك، على سبيل المثال، المسح بحثًا عن المنافذ والفحص/المسح بحثًا عن الثغرات الأمنية واختبار الاختراق والاستغلال ومسح تطبيقات الويب، فضلاً عن أي إقحام أو تزوير أو نشاط اختبار عشوائي، تم إجراؤه إما عن بعد ضد أصول AWS، أو بين/ضمن أصول AWS، أو محليًا داخل الأصول الظاهرية نفسها.
أنت لست محدودًا في اختيارك من الأدوات أو الخدمات لإجراء تقييم أمان لأصول AWS. ومع ذلك، يحظر عليك استخدام أي أدوات أو خدمات بطريقة تؤدي إلى هجمات الحرمان من الخدمة (DoS) أو محاكاتها ضد أي من أصول AWS، الخاصة بك أو غير ذلك. يجب على العملاء الذين يرغبون في إجراء اختبار محاكاة الحرمان من الخدمة الموزعة مراجعة سياسة اختبار محاكاة الحرمان من الخدمة الموزعة.
أداة الأمان التي تقوم فقط بتنفيذ استعلام عن بعد لأصل AWS لتحديد اسم البرنامج وإصداره، مثل "الاستيلاء على الشعار" لغرض المقارنة بقائمة الإصدارات المعروفة بأنها عرضة لخطر الحرمان من الخدمة (DOS)، ليست انتهاكًا لهذه السياسة.
بالإضافة إلى ذلك، فإن أداة الأمان أو الخدمة التي تعطل فقط عملية قيد التشغيل على أصول AWS الخاصة بك، المؤقتة أو غير ذلك، حسب الضرورة للاستغلال البعيد أو المحلي كجزء من تقييم الأمان، ليست انتهاكًا لهذه السياسة. ومع ذلك، قد لا تشارك هذه الأداة في إغراق البروتوكول أو المورد بالطلبات، كما ذكر أعلاه.
أداة أو خدمة الأمان التي تقوم بإنشاء أو تحديد وجود أو إظهار شرط DoS بأي طريقة أخرى، فعلية أو صورية، ممنوعة صراحةً.
تتضمن بعض الأدوات أو الخدمات قدرات DoS الفعلية كما هو موضح، إما بصمت/بطبيعتها إذا استخدمت بشكل غير مناسب أو كاختبار/فحص أو ميزة صريحة للأداة أو الخدمة. أي أداة أو خدمة أمان يكون لديها مثل قدرة DoS هذه، يجب أن يكون لديها القدرة الصريحة على تعطيل أو إبطال أو غير ذلك جعل قدرة DoS هذه غير مؤذية. وإلا، فإن هذه الأداة أو الخدمة قد لا تستخدم لأي جانب من جوانب تقييم الأمان.
مسؤولية عميل AWS الوحيدة هي: (1) ضمان تكوين الأدوات والخدمات المستخدمة لإجراء تقييم أمان بشكل صحيح والعمل بنجاح بطريقة لا تؤدي إلى هجمات الحرمان من الخدمة (DoS) أو محاكاة لها، و(2) التحقق بشكل مستقل من أن الأداة أو الخدمة المستخدمة لا تؤدي إلى هجمات الحرمان من الخدمة (DoS)، أو محاكاة لها، قبل تقييم الأمان لأي من أصول AWS. وتشمل مسؤولية عميل AWS هذا ضمان إجراء الجهات الخارجية المتعاقدة تقييمات الأمان بطريقة لا تنتهك هذه السياسة.
وعلاوة على ذلك، أنت مسؤول عن أي أضرار تحدث لـ AWS أو عملاء AWS الآخرين التي تنتج عن اختبارك أو أنشطة تقييم الأمان.